安全公告编号:CNTA-2016-0003

近日，国家信息安全漏洞共享平台（CNVD）收录了GlassFish存在任意文件读取漏洞（CNVD-2016-00232）。攻击者利用漏洞访问网站链接可获得非授权访问的目录文件列表，如:可读取web应用配置文件等，进一步渗透构成网站信息泄露和运行风险。

一、漏洞情况分析

GlassFish是一款基于JavaEE5的商业兼容应用服务器软件，可用于Web容器及相关应用的开发、部署和分发。由于其在实现unicode编码上存在缺陷，导致同一代码的多重解析，如：java把"%c0%ae"解析为"\uC0AE"，最后转义为ASCCII字符"."。攻击者利用漏洞构造目录穿越回溯，获得操作系统主机上的目录文件列表。对于熟悉操作系统和Web容器架构的攻击者，构成进一步渗透网站系统的先决条件。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响GlassFish 4.0 -4.1版本。根据CNVD初步普查的结果，互联网上约有2.36万台GlassFish服务器暴露在互联网上，其中中国大陆地区为1184台，占比约为5.0%，其他GlassFish服务器应用较多的国家和地区分别有美国 (占比38.4%)、巴西(占比6.9%)、德国 (占比6.3%)、法国（占比3.2%）、英国（占比2.8%）、俄罗斯（2.7%）、加拿大(占比2.6%)。总体上看，该漏洞对北美、欧盟以及东亚等地区的影响较为严重。

三、漏洞修复建议

2015年10月，厂商发布了4.1.1版本修复该漏洞，目前该漏洞的攻击利用代码已经在互联网上传播， CNVD提醒系统运维人员及时到厂商主页更新下载，避免引发漏洞相关的网络安全事件。https://glassfish.java.net/

附：参考链接：

http://www.wooyun.org/bugs/wooyun-2015-0144595

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00232